46419 (Современные угрозы и каналы утечки информации в компьютерных сетях), страница 5

В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.

1992 год

Вирусы для не – IBM-PC и не – MS-DOS практически забыты: «дыры» в глобальных сетях закрыть, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько основных моментов:

Начало 1992: первый полиморфик – генератор VtE, на базе которого через некоторое время появляется сразу несколько полиморфик - вирусов. MtE явился также прообразом нескольких последующих полиморфик - генераторов.

Март 1992: эпидемия вируса «Michelangelo» («March6») и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего около 10.000 машин.

Июль 1992: появление первых конструкторов вирусов VCL и PS-MPS, которые увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.

Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу в вирусописательстве.

1993 год

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик - генераторов и конструкторов, помимо новых электронных изданий врусописателей появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т.д. Основными примерами являются:

«PMBS», работающий в защищенном режиме процессора Intel 80386.

«Strange» (или «Hmm») - сольное выступление на тему «стелс-вирус», однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.

«Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов компаньон - вирусов;

«Emmie», «Metallica», «Bomber», «Urugyay» и «Cruncher» - использование принципиально новых приемов «спрятывания» своего кода в зараженных файлах.

Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.

1994 год

Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер - диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходится - их придется просто уничтожить.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса – «SMEG Pathogen» и «SMEG Queeg» (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.

Еще одну волну паники вызвало сообщение о якобы существующем вирусе «GoodTimes», распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. На какого такого вируса на самом деле не существовало, однако через некоторое время появился обычный DOS-вирус с текстом «Good Times», вирус этот получил название «GT - Spoof».

Активизируются правоохранительные органы: летом 1994 автор SMEG был «вычислен» и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.

Появляются несколько новых достаточно необычных вирусов:

Январь 1994: «Shifter» - первый вирус, заражающий объектные модули OBJ-файлы «Phantom1» - эпидемия первого полиморфик-вируса в Москве.

Апрель 1994: «SrcVir» - семейство вирусов, заражающих исходные тексты программ (C и Pascal).

Июнь 1994: «OneHalf» - начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.

Сентябрь 1994: «Зараза» - эпидемия файлово - загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.

В 1994 году (весна) перестал существовать один из антивирусных лидеров того времени - Central Point. Он был приобретен фирмой Симантек, которая до того уже успела «проглотить» несколько небольших фирм, занимавшихся антивирусными разработками - Peter Norton Computing, Certus International и Fifth Generation Systems.

1995 год

Ничего действительно заметного в области DOS-вирусами не произошло, хотя появляется несколько достаточно сложных вирусов-монстров типа «NightFall», «Nostradamys», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус «RMNS» и BAT-вирус «Winstart». Широкое распространение получили вирусы «ByWay» и «DieHard2» - сообщения о зараженных компьютерах были получены практически со всего мира.

Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows95, обнаружен вирус «Form». Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.

Весна 1995: аннонсирован альянс двух антивирусных компаний - ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.

Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в «живом виде» обнаружен первый вирус для Microsoft Word («Concept»). Буквально за месяц вирус «облетел» весь земной шар, заполонил компьютеры пользователей MS - Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.

1996 год

Январь 1996: два достаточно заметных события - появился первый вирус для Windows95 («Win95.Boza») и эпидемия крайне сложного полиморфик-вируса «Zhengxi» в Санкт-Петербурге.

Март 1996: первая эпидемия вируса для Windows 3.x. Его имя – «Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Интересность этого события состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом виде» встречались только загрузочные, DOS- и Macro-вирусы.

Июнь 1996: «OS2.AEP» - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».

Июль 1996: «Laroux» - первый вирус для Microsoft Excel, к тому же пойманный в «живом виде» (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия «Laroux» основывается на наличии в файлах так называемых макросов - программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS - Word. Как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии в компьютерных фирмах Москвы.

Декабрь 1996: «Win95.Punch» - первый «резидентный» вирус для Win95. Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.

В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows32 (Windows95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс - и полиморфик - механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития - на уровень 32-битных операционных систем. За два года вирусы для Windows32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.

1997 год

Февраль 1997: «Linux.Bliss» - первый вирус для Linux (разновидность юникса). Так вирусы заняли еще одну «биологическую» нишу.

Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макро-вирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97.

Март 1997: «ShareFun» - макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS - Mail.

Апрель 1997: «Homer» - первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp).

Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.

Ноябрь 1997: Вирус “Esperanto”. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).

Декабрь 1997: появилась новая форма вируса - черви mIRC. Оказалось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала «дыру», позволяющую вирусным скриптам передавать себя по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви канули в лету.

Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы КАМИ в независимую компанию «Лаборатория Касперского», зарекомендовавшую себя на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года основной продукт компании - антивирусный сканер AntiViral Toolkit Pro (AVP) - стабильно показывает высокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую компанию позволило по началу небольшой группе разработчиков стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на ринке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые антивирусные решения, создана сеть международной дистрибуции и технической поддержки.

В октябре 1997 года было подписано соглашение о лицензировании технологий AVP финской компанией DataFellows для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.

Год 1997 также заметен по нескольким скандалам, разразившимся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов - в антивирусе фирмы Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при сканировании обнаруживает несколько вирусов различных типов, то дальнейшая его работа происходит в усиленном режима. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» – «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.

Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Одновременно с этим компания McAfee вела юридические тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании кодов Symantec в продуктах McAfee. Ну и т.д.

Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates и о позиционировании усилий не только в области антивирусных защит, но и в разработке универсальных систем компьютерной безопасности, шифрования и сетевого администрирования. Начиная с этого момента вирусной и антивирусной истории McAfee следует читать как NAI.

1998 год

Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами «CIH» и «Marburg».

Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не только заражающих выполняемые файлы Windows32, но и способные передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко - говорящие страны.

Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel – «Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.

Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.